Bereits im Jahr 2017 untersagte das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) einem Online-Shop den Einsatz von „Facebook Custom Audience“, einem Marketing-Werkzeug von Facebook. Das Verwaltungsgericht Bayreuth bestätigte die Auffassung des BayLDA und entschied im Eilverfahren, dass die Anordnung recht-mäßig ist. Auch der Bayerische Verwaltungsgerichtshof kam zu demselben Ergebnis: Der Einsatz von „Facebook Custom Audience“ ohne Einwilligung des Nutzers ver-stößt gegen das Datenschutzrecht.
Bayerischer Verwaltungsgerichtshof entscheidet: BayLDA untersagt zu Recht den Einsatz von Facebook Custom Audience
Das Verfahren „Facebook Custom Audience“ ermöglicht es Unternehmen, ihre Kunden, die zugleich Nutzer von Facebook sind, auf dem sozialen Netzwerk gezielt bewerben zu lassen. Um auf Facebook werben zu können, erstellt ein Online-Shop eine Liste seiner Kunden und Interessenten mit Name, Wohnort, E-Mail-Adresse und Telefonnummer. Diese Kundenliste wird dann im Facebook-Konto des Online-Shops an Facebook hochgeladen. Zuvor werden die Kundendaten unter Einsatz eines sogenannten Hash-Verfahrens in feste Zeichenketten (z.B. Max Mustermann = dddfab9b5b8a360150547065daff114ff218b39c8b0986b761075977aeeca3c3) umgewandelt. Danach gleicht Facebook die Kundenliste mit allen Facebook-Nutzern ab und kann so feststellen, welcher Kunde des Online-Shops auch Mitglied bei Facebook ist. Der Online-Shop kann dann eine oder mehrere Werbekampagne(n) auf Facebook für seine Kunden starten. Er wählt eine bestimmte Zielgruppe aus, die die Werbung erhalten soll. So kann der Online-Shop vorgeben, dass z.B. Frauen zwischen 20 und 30 Jahren, die viel Sport treiben, über ein durchschnittliches Einkommen verfügen, Werbung in ihrem Facebook-Account von dem Online-Shop erhalten.
Das BayLDA erließ eine Anordnung gegen einen bayerischen Online-Shop und forderte das Unternehmen auf, das Marketing-Tool „Facebook Custom Audience über die Kundenliste“ nicht mehr einzusetzen. Grund hierfür war, dass der Online-Shop keine Einwilligung des Nutzers einholte. Aus Sicht des BayLDA war dies aber erforderlich, da Kundendaten direkt an Facebook übermittelt wurden. Gegen diese Anordnung klagte der Online-Shop vor dem Verwaltungsgericht Bayreuth. Das Verwaltungsgericht Bayreuth teilte die Ansicht des BayLDA und ent-schied im Eilverfahren, dass die Anordnung rechtmäßig ergangen sei. Gegen diese Entscheidung wendete sich der Online-Shop.
Schließlich entschied der Bayerische Verwaltungsgerichtshof, dass die Anordnung des BayLDA rechtmäßig ist und führte zur Begründung u.a. Folgendes aus:
- Für die Frage, ob ein Verhältnis über eine Auftragsverarbeitung vorliegt, kommt es nicht auf die vertraglichen Vereinbarungen der Parteien an, sondern auf die tatsächlichen Abläufe der Datenverarbeitung.
- Im konkreten Fall ist Facebook im Rahmen des Dienstes „Custom Audience“ kein Auftragsverarbeiter, sondern Dritter.
- Der Einsatz des Marketing-Tools „Facebook Custom Audience über die Kundenliste“ ist nur nach voriger Einwilligung des Nutzers rechtmäßig.
- Zwar habe der Werbetreibende ein berechtigtes Interesse an zielgerichteter Werbung, diesem Interesse stehen jedoch die überwiegenden, schutzwürdigen Interessen der Betroffenen gegenüber, die insbesondere nicht damit rechnen, dass ihre E-Mail-Adresse an Facebook übermittelt wird.
Facebook-Nutzer können in ihren Einstellungen selbst überprüfen, welche Unternehmen Kundenlisten mit ihren Daten an Facebook übermittelt haben. Eine Anleitung dazu gibt es hier.
Weitere Informationen zum Verfahren finden Sie in der Pressemitteilung vom 15.06.2018 und den Tätigkeitsberichten des BayLDA.
Thomas Kranig:
„Die aktuelle Entscheidung des VGH Bayern ist keine Überraschung. Wir haben mehrfach über die Anforderungen an einen zulässigen Einsatz von Marketing-Tools in unseren Tätigkeitsberichten, Pressemitteilungen und sonstigen Veröffentlichungen informiert. Verantwortliche hatten mehr als ausreichend Gelegenheit, ihre Datenverarbeitung zu überprüfen und sicherzustellen, dass alle Anforderungen erfüllt werden. Wir werden diese Entscheidung zum An-lass nehmen und unsere Prüfung auf weitere Branchen ausweiten und Verstöße nach dem neuen Bußgeldrahmen der DS-GVO sanktionieren.“